<3-letter Government Agency> 是否可以通过他们的 git 存储库为项目添加后门,而没有人注意到这些更改?
例如,如果恶意黑客获得了对Ruby git的贡献者访问权限,他们是否会以这样一种方式扰乱提交历史,以至于拉取恶意代码可能会被忽视?
问问题
224 次
2 回答
2
git 不会自动从远程提取,用户需要git pull从远程调用以获取新代码,这不是“没有人注意到更改”。
另外,用户可以通过遥控器检查git log <remote-name>并git show <remote-name>查看这些更改。如果他们发现恶意更改,他们总是可以将其还原。
于 2013-10-09T19:04:11.893 回答
1
就修改项目的变更历史而言,这将是困难的;git 使用可以被视为更改的“文件系统快照”的内容。git 用来区分这些更改快照的标识符是 160 位 SHA1 哈希。
虽然在密码学上是安全的,但这并不是在 git 中用于防止恶意重写存储库,而是用于基本的数据完整性。如果先前的提交被更改,SHA1 提交标识符将更改,但理论上,可能会发现冲突。
在 git 中,SHA1 哈希的加密本质本身并不是一种安全机制,而是一种奖励
您的问题之前已经提到过 Linux 内核被恶意更改。你可以在这里阅读。
于 2013-10-09T22:50:55.200 回答